Azure にワークロードをデプロイする前に、それらをサポートする基になる環境を準備することが重要です。 この基本的なセットアップは、Azure 環境を構築するための推奨される開始点として、Azure ランディング ゾーン と呼ばれます。 Azure ランディング ゾーンは、スケーラブルで安全で管理されたクラウド環境を最初から構築するのに役立つ構造化されたアプローチです。
Azure ランディング ゾーンは、ID とアクセス管理、顧客契約、コア プラットフォーム サービスの構成などの重要な考慮事項に対処するのに役立ちます。 共有インフラストラクチャとアプリケーション固有のリソースの両方を整理するための一貫したフレームワークが提供されます。 このモデルの中心には、次の 2 種類のランディング ゾーンがあります。
プラットフォームランディングゾーン
プラットフォーム ランディング ゾーンは、Azure 環境のバックボーンとして機能します。 組織全体に適用されるガバナンスと中央サービスが確立されます。 その機能には、サブスクリプション間で Azure Policy が適用された管理グループ階層が含まれます。 接続、ID、管理、およびセキュリティ共有サービス用の専用サブスクリプションもあります。
組織の規模とクラウドの成熟度に応じて、これらの一元化されたサービスのすべてを実装するか、一部を実装するか、まったく実装しないかを選択できます。 小規模またはクラウドネイティブのチームの場合は、軽量なアプローチで十分な場合があります。
アプリケーションランディングゾーン
アプリケーション ランディング ゾーンは、ワークロード リソース用です。 ワークロードには、環境 (開発、テスト、または運用環境) ごとにアプリケーション ランディング ゾーンが必要です。 各アプリケーション ランディング ゾーンは、スケーリングとサービスの制限に対応するために 1 つ以上のサブスクリプションで構成されます。 Azure Policy 定義を親管理グループから継承するために、"Online" や "Corp" など、適切な管理グループの下に階層化されています。 この構造により、ワークロードは制御された一貫性のある方法でデプロイされますが、個々のワークロードのニーズに柔軟に対応できます。
すべてのサブスクリプションに適用される構成
サブスクリプションがプラットフォームまたはアプリケーション ランディング ゾーンに属しているかどうかに関係なく、特定の構成を汎用で有効にする必要があります。 これらの構成には、Azure Role-Based アクセス制御 (RBAC)、Cost Management、Network Watcher、および Microsoft Defender for Cloud が含まれます。 これらのサービスは、Azure 環境全体の可視性、セキュリティ、運用制御を維持するのに役立ちます。
Azure ランディング ゾーンの体験
準備ガイドを進める際は、完全に運用可能な Azure ランディング ゾーンの作成に向けた取り組みとして、進行状況を考えてください。 この取り組みは、4 つの主要なフェーズで展開され、それぞれがサポート プロセスとツールを備えています。
1. 環境をセットアップする
新しい (Greenfield) を開始する場合でも、既存のセットアップ (Brownfield) を最新化する場合でも、最初の手順は、リソースをホストするサブスクリプションを作成することです。 ベスト プラクティスに基づいて新しい Azure ランディング ゾーン環境を実装するには、通常、複数のサブスクリプションが必要です。 これらのサブスクリプションは、手動、プログラム、または自動自動販売機モジュールを使用して作成できます。
2. プラットフォーム ランディング ゾーン コンポーネントをデプロイする
次に、Azure ランディング ゾーンの参照アーキテクチャに基づいて、プラットフォーム リソースのデプロイを高速化します。 これらのコンポーネントは、管理グループ階層、ポリシーの適用、接続、セキュリティ、監視などのガバナンスと共有サービスを確立します。 デプロイ オプションには、Azure portal、Bicep、Terraform が含まれます。
3. サブスクリプションの販売プロセス
プラットフォームが整ったら、Azure テナント内に個々のアプリケーション ランディング ゾーンを作成する必要があります。 このプロセスを自動化するには、サブスクリプションの自動販売機ソリューションをお勧めします。 自動販売機は、ネットワークなどのコア リソースと共にサブスクリプションをデプロイするのに役立ちます。 Bicep モジュールと Terraform モジュールの両方を使用できます。
4.アプリケーション ランディング ゾーン コンポーネントをデプロイする
最後に、ワークロードをサポートするコンポーネントをデプロイします。 複数のアプリケーション ランディング ゾーン アクセラレータを使用して、Azure Virtual Desktop、SAP、Azure Kubernetes などのシナリオの参照アーキテクチャと実装ガイダンスを提供できます。 これらのアクセラレータは、Azure ランディングでアプリケーション ランディング ゾーンを準備するのに役立ちます。 CAF クラウド導入シナリオを参照してください。